Schalten Sie den Editor’s Digest kostenlos frei
Roula Khalaf, Herausgeberin der FT, wählt in diesem wöchentlichen Newsletter ihre Lieblingsgeschichten aus.
Nach Angaben der Aufsichtsbehörde erschien ein falscher Beitrag auf der offiziellen X-Social-Media-Seite der US-Börsenaufsichtsbehörde Securities and Exchange Commission, in dem voreilig behauptet wurde, sie habe neue Bitcoin-Anlageprodukte genehmigt, nachdem ein Hacker die Kontrolle über die mit dem Konto verknüpfte Mobiltelefonnummer übernommen hatte.
Der weit verbreitete Beitrag vom 9. Januar, in dem es hieß, die SEC habe grünes Licht für die ersten börsengehandelten Bitcoin-Fonds gegeben, versetzte den Kryptowährungssektor vorübergehend in Aufruhr. Die Behörde dementierte dies schnell und gab einen Tag später ihre seriösen Genehmigungen bekannt.
Die SEC erklärte am Montag, sie habe festgestellt, dass eine unbefugte Partei offenbar einen „SIM-Tausch“ durchgeführt habe, bei dem eine Mobiltelefonnummer ohne die Erlaubnis des Besitzers auf ein anderes Gerät übertragen werde. Anschließend wurde das Passwort für das SEC-Konto auf X geändert.
Die Nummernübertragung erfolgte über den Telekommunikationsanbieter und nicht über die Systeme der Behörde, so die SEC. Die Regulierungsbehörde fügte hinzu, sie habe keine Beweise dafür gefunden, dass der Hacker Zugriff auf ihre Systeme, Geräte, Daten oder andere Social-Media-Konten erhalten habe.
Die Agentur gab außerdem bekannt, dass X im Juli auf Anfrage der SEC die Multi-Faktor-Authentifizierung „aufgrund von Problemen beim Zugriff auf das Konto“ deaktiviert hatte. Das Verfahren wurde nach dem Verstoß gegen die Seite wieder eingeführt und für alle Social-Media-Konten der SEC aktiviert, die eine solche Authentifizierung anbieten, sagte die Regulierungsbehörde.
Das Missgeschick war eine Peinlichkeit für die Agentur, nachdem ihr Vorsitzender Gary Gensler die Cybersicherheit zu einer Säule seiner Agenda gemacht und Regeln verabschiedet hatte, die Unternehmen zu größerer Wachsamkeit gegenüber Cyberrisiken verpflichten.
Während der Hack nach Cyber-Standards nicht schwerwiegend war, da er die eigenen Systeme der SEC nicht beeinträchtigte, hielten Analysten das Fehlen der Zwei-Faktor-Authentifizierung, das erstmals von X offengelegt wurde, für einen leicht vermeidbaren Fauxpas. „Wir ermutigen alle Benutzer, diese zusätzliche Sicherheitsebene zu aktivieren“, sagte X am Tag des Vorfalls.
Der gefälschte Beitrag kam, als die Wall Street mit Spannung auf die SEC-Genehmigung der ersten Spot-Bitcoin-ETFs wartete, die es normalen Anlegern ermöglichen, die Kryptowährung auf ihren Brokerkonten zu halten. Gensler hat seine Skepsis gegenüber Kryptowährungen zum Ausdruck gebracht und die Märkte als „Wilden Westen“ bezeichnet.
Gensler vertritt eine strenge Durchsetzungspolitik gegenüber Kryptowährungen und argumentiert, dass es sich bei vielen digitalen Token um Wertpapiere handele, die direkt in den Zuständigkeitsbereich der Behörde fielen. Die SEC reguliert bereits ETFs.
Am Tag des Hacks postete Gensler zehn Minuten nach der Veröffentlichung des gefälschten Beitrags auf seinem eigenen X-Konto, dass das Konto der Regulierungsbehörde „kompromittiert“ worden sei und keine ETF-Genehmigungen erteilt worden seien.
Die Regulierungsbehörde sagte am Montag, sie arbeite weiterhin mit den Strafverfolgungsbehörden und Bundesbehörden zusammen, darunter dem FBI, dem Heimatschutzministerium und der Commodity Futures Trading Commission. Nach Angaben der SEC geht es bei der Untersuchung unter anderem darum, wie der Hacker den Telekommunikationsanbieter veranlasste, die SIM-Karte zu wechseln, und wie er auf die Kontonummer aufmerksam wurde.